Modulo_2_Part3 - CESCOT
Transcript
Modulo_2_Part3 - CESCOT
NTFS è un file system nativo di Windows NT, di Windows 2000 e di Windows XP. Oltre a miglioramenti nella gestione dei files rispetto i sistemi FAT, nelle partizioni NTFS è possibile specificare “permessi” per cartelle e singoli files ad utenti o gruppi di utenti. In questo modo è possibile una maggior protezione del sistema. I permessi NTFS sono concedibili sia a singoli utenti che a gruppi. La strategia migliore di concessione di permessi NTFS è definita: A G DL P Questa strategia di concessione di permessi NTFS prevede: L’aggiunta di un Account utente ad un Gruppo Globale. L’inserimento di questo il un Gruppo Locale al Dominio. La definizione dei Permessi a quest’ultimo. NTFS consente di associare ad ogni file o cartella una “Access Control List” (ACL) contenente gli utenti ed i gruppi che possono accedere alla risorsa ed i loro permessi. L’ ACL di ciascuna risorsa deve contenere almeno una “Access Control Entry” (ACE) per un utente o per un suo gruppo di appartenenza, per concedere ad esso l’accesso. •UTENTE_1 e GRUPPO_1 sono nella ACL della risorsa e, quindi la possono utilizzare, con diversi permessi. •UTENTE_2 non è nella ACL e, quindi, non può accedere alla risorsa. I permessi di NTFS di cartella (folder) consentono l’accesso e le operazioni alle cartelle, alle sottocartelle ed ai files in esse contenuti. •Controllo completo (Full Control) •Modifica •Lettura ed Esecuzione •Visualizza contenuto cartella •Scrittura •Lettura Nell’esempio il gruppo Administrators possiede tutte le autorizzazioni sulla cartella “Inetpub” I permessi di NTFS di file consentono l’accesso e le operazioni ai singoli file. Quando i permessi di files si scontrano con quelli di cartella, prevalgono i primi. •Controllo completo (Full Control) •Modifica •Lettura ed Esecuzione •Scrittura •Lettura Per poter assegnare permessi NTFS ad un file o ad una cartella bisogna appartenere al gruppo "Administrators", ovvero possedere su quel file o su quella cartella il permesso di “Controllo completo“ o esserne il "Proprietario" ("Owner"). Permission Description Full Control Permission to read, write, change and delete files and sub-folders. Modify Permission to read and write to files in the folder, and to delete current folder. List Folder Contents Permission to obtain listing of files and folders and to execute files. Read and Execute Permission to list files and folders and to execute files. Write Permission to create new files and folders within selected folder. Read Permission to list files and folders. Permission Description Full Control Permission to read, write, change and delete the file. Modify Permission to read and write to and delete the file. Read and Execute Permission to view file contents and execute file. Write Permission to write to the file. Read Permission to view the files contents. Allows access to folder regardless of whether access is provided to data in folder. Allows execution of a file. Traverse folder option provides permission to view List folder / read data file and folder names. Read data allows contents of files to be viewed. Allows read-only access to the basic attributes of Read attributes a file or folder. Allows read-only access to extended attributes of Read extended attributes a file. Create files option allows the creation or placement (via move or copy) of files in a folder. Create files / write data Write data allows data in a file to be overwritten (does not permit appending of data). Create folders option allows creation of subfolders in current folder. Append data allows data Create folders / append data to be appended to an existing file (file may not be overwritten) Allows the basic attributes of a file or folder to be Write attributes changed. Allows extended attributes of of a file to be Write extended attributes changed. Provides permission to delete any files or subDelete subfolders and files folders contained in a folder. Allows a file or folder to be deleted. When deleting a folder, the user or group must have permission Delete to delete any sub-folders or files contained therein. Provides read access to both basic and special Read permissions permissions of files and folders. Allows basic and special permissions of a file or Change permissions folder to be changed. Traverse folder / execute file Take ownership Allows user to take ownership of a file or folder. I permessi NTFS sono cumulativi; ciò significa che se un utente ha permessi personali ed altri sono assegnati ad uno o più gruppi di appartenenza, il permesso che ne consegue è la somma di tutti quelli personali e di gruppo. Le autorizzazioni negate prevalgono su quelle concesse I permessi specifici del file hanno sempre la precedenza sui permessi di gruppo e su quelli ereditati Copiando o spostando file o cartelle tra volumi NTFS, si hanno diversi risultati Copia su stessa partizione NTFS La copia eredita i permessi della cartella di destinazione Copia su altra partizione NTFS La copia eredita i permessi della cartella di destinazione Copia su partizione non-NTFS I permessi sono persi Spostamento su stessa partizione Si mantengono i permessi di origine Spostamento su altra partizione NTFS Si ereditano i permessi della cartella di destinazione Spostamento su partizione nonNTFS I permessi sono persi Condividere solo le risorse strettamente necessarie. Indicare nomi di condivisione chiari ed univoci. Non condividere interi dischi, ma solo cartelle. Eliminare subito le autorizzazioni ad Everyone, sostituendole con altre di gruppo od utente. Concedere autorizzazioni limitate agli utenti generici, in particolare agli studenti. All’installazione di Windows 2000/2003 sono predisposte alcune condivisioni speciali che hanno lo scopo di favorire l’amministrazione del sistema. Queste condivisioni sono nascoste, accessibili dal sistema e non sono modificabili, ma solo cancellabili.